O lanzamento de Fedora 38 propón implementar a primeira etapa da transición ao proceso de arranque modernizado previamente proposto por Lennart Potting para un arranque verificado completo, que abrangue todas as etapas desde o firmware ata o espazo do usuario, non só o núcleo e o cargador de arranque. A proposta aínda non foi considerada polo FESCo (Fedora Engineering Steering Committee), responsable da parte técnica do desenvolvemento da distribución Fedora.
Os compoñentes para implementar a idea proposta xa están integrados en systemd 252 e redúcense a utilizar, en lugar da imaxe initrd xerada no sistema local ao instalar o paquete do núcleo, unha imaxe de núcleo unificada UKI (Imaxe unificada do núcleo), xerada na distribución. infraestrutura e asinado dixitalmente pola distribución. UKI combina nun ficheiro o controlador para cargar o kernel desde UEFI (UEFI boot stub), a imaxe do kernel de Linux e o ambiente do sistema initrd cargado na memoria. Ao chamar a unha imaxe UKI desde UEFI, é posible comprobar a integridade e fiabilidade da sinatura dixital non só do núcleo, senón tamén do contido do initrd, cuxa verificación de autenticidade é importante xa que neste entorno as claves para descifrar os FS raíz son recuperados.
Debido aos importantes cambios por diante, está previsto que a implantación se divida en varias etapas. Nunha primeira etapa, engadirase soporte UKI ao cargador de arranque e comezará a publicación dunha imaxe UKI opcional, que se centrará no arranque de máquinas virtuais cun conxunto limitado de compoñentes e controladores, así como de ferramentas asociadas á instalación e actualización de UKI. . Na segunda e terceira etapa, está previsto que se deixe de pasar a configuración na liña de comandos do núcleo e deixe de almacenar claves no initrd.
Fonte: opennet.ru